To-faktor og multi-faktor autentisering (2FA/MFA)

FoxIDs støtter både en enkel to-faktor modus og en avansert multi-faktor modus i innloggingsautentiseringsmetoden.

• To-faktor modus: Advanced multi-factor er deaktivert (standard).
• Multi-faktor modus: Advanced multi-factor er aktivert.

Bruk to-faktor modus når én ekstra faktor er nok. Bruk multi-faktor modus når du trenger en ordnet MFA-kjede eller vil bruke autentiseringsmetoder som MFA-trinn.

Begreper

To-faktor autentisering (2FA) og multi-faktor autentisering (MFA) legger begge til ett eller flere verifiseringstrinn etter den primære innloggingen.

• 2FA: en primær innlogging pluss én ekstra faktor.
• MFA: en primær innlogging pluss én eller flere ordnede ekstra faktorer.

Støttede faktorer

FoxIDs støtter innebygde faktorer og autentiseringsmetoder som MFA-elementer.

Faktor	Type	AMR-verdi
SMS-kode	Innebygd	sms
E-postkode	Innebygd	email
Authenticator app-kode	Innebygd	otp
Recovery code	Innebygd (authenticator app)	otp
Autentiseringsmetode (OIDC, SAML 2.0, TrackLink)	Konfigurerbart element	Konfigurert AMR eller metode-/profilnavn hvis feltet er tomt

Du kan bruke hvilken som helst kompatibel authenticator app, for eksempel Google Authenticator, Microsoft Authenticator, Authy og andre TOTP-apper.

Når MFA kreves

MFA utløses når ett av følgende gjelder:

• Brukeren har Require multi-factor (2FA/MFA) aktivert.
• Innloggingsautentiseringsmetoden har Require multi-factor (2FA/MFA) aktivert.
• Applikasjonen som kaller, ber om MFA med ACR urn:foxids:mfa.

MFA-krav gjelder i begge modi. Hvis Advanced multi-factor er deaktivert, oppfylles kravet av den enkle to-faktor flyten.

Hvis spesifikke ACR-verdier blir bedt om sammen med urn:foxids:mfa, er det bare de matchende ACR-verdiene som kreves.

To-faktor modus (Advanced multi-factor er deaktivert)

I denne modusen konfigureres innebygde to-faktor alternativer direkte:

• Authenticator app
• SMS
• E-post

Slik konfigurerer du to-faktor modus:

1. Åpne fanen Authentication.
2. Klikk på innloggingsautentiseringsmetoden Login for å redigere den.
3. Klikk Show advanced.
4. Gå til seksjonen Multi-factor.
5. La Advanced multi-factor være deaktivert og konfigurer alternativene for Authenticator app, SMS og E-post.

Navnet på authenticator appen som vises til brukerne kan konfigureres. Som standard brukes tenantnavnet.

SMS- og e-postfaktorer krever brukerens kontaktinformasjon. Dette kan angis som brukeridentifikatorer eller som claims (phone_number og email).

Valg av to-faktor type

I to-faktor modus foretrekker FoxIDs en allerede registrert authenticator app. Hvis ingen authenticator app er registrert, foretrekkes SMS fremfor e-post når begge er tilgjengelige.

SMS to-faktor aktivert og brukeren har telefonnummer	E-post to-faktor aktivert og brukeren har e-post	Brukeren har registrert authenticator app	Mulige to-faktor typer	Valgt to-faktor type
false	false	false	Oppsett av authenticator app	Oppsett av authenticator app
false	false	true	Authenticator app	Authenticator app
true	false	false	SMS med valgfritt oppsett av authenticator app etter SMS-verifisering	SMS
true	false	true	SMS og authenticator app	Authenticator app
false	true	false	E-post med valgfritt oppsett av authenticator app etter e-postverifisering	E-post
false	true	true	E-post og authenticator app	Authenticator app
true	true	false	SMS og e-post med valgfritt oppsett av authenticator app etter SMS- eller e-postverifisering	SMS
true	true	true	SMS, e-post og authenticator app	Authenticator app

Multi-faktor modus (Advanced multi-factor er aktivert)

Når Advanced multi-factor er aktivert, konfigureres MFA som en ordnet liste med opptil 5 MFA-elementer.

Slik konfigurerer du multi-faktor modus:

1. Åpne fanen Authentication.
2. Klikk på innloggingsautentiseringsmetoden Login for å redigere den.
3. Klikk Show advanced.
4. Gå til seksjonen Multi-factor.
5. Aktiver Advanced multi-factor og konfigurer de ordnede MFA-elementene.

Støttede MFA-elementtyper:

• Innebygde:
  • SMS
  • E-post
  • Authenticator app
• Autentiseringsmetode:
  • OpenID Connect
  • SAML 2.0
  • TrackLink

Konfigurasjonsregler:

• Innebygde elementtyper kan bare konfigureres én gang hver.
• Elementer av typen autentiseringsmetode kan konfigureres flere ganger, for eksempel med ulike profiler.
• Elementene kjøres i listeorden.
• Du kan legge til, fjerne og omorganisere elementer.

AMR- og ACR-atferd for MFA-elementer

Hvert fullført MFA-element bidrar med AMR-claimverdier til sesjonen.

• Innebygde AMR-verdier er faste:
  • SMS: sms
  • E-post: email
  • Authenticator app og recovery code: otp
• MFA-element av typen autentiseringsmetode:
  • En valgfri egendefinert AMR kan konfigureres.
  • Hvis AMR er tom, brukes autentiseringsmetodens navn eller profilnavn.

ACR-verdier det bes om matches mot MFA-elementenes AMR-verdier i følgende format:

• urn:foxids:<amr>
• Eksempel: urn:foxids:link

urn:foxids:mfa er det generelle MFA-kravet, og FoxIDs legger til AMR mfa når MFA er fullført.

Valg og kjeding av MFA-elementer

• Hvis spesifikke ACR-verdier bes om, må ett av de matchende MFA-elementene fullføres.
• Hvis bare generell MFA bes om, kan hvilket som helst tilgjengelig konfigurert MFA-element oppfylle kravet.
• Hvis mer enn ett kvalifisert MFA-element finnes og FoxIDs ikke kan velge automatisk, vises et valggrensesnitt.
• Hvis en authenticator app er konfigurert og allerede registrert, foretrekker FoxIDs den for generelle MFA-forespørsler.
• Hvis oppsett av authenticator app velges og ennå ikke er registrert, kan oppsettsflyten fortsette etter et valgt SMS-, e-post- eller autentiseringsmetodetrinn.
• Hvis bare authenticator app er konfigurert, kan oppsett starte direkte etter innlogging med første faktor.

MFA-side for autentiseringsmetode med valgfri registrering av authenticator app og mulighet til å velge et annet MFA-element.

MFA-side for SMS med valgfri registrering av authenticator app og mulighet til å velge et annet MFA-element.

MFA-side for e-post der authenticator appen settes opp, med mulighet til å velge et annet MFA-element.

MFA-side for authenticator app med mulighet til å velge et annet MFA-element.

Autentiseringsmetoder brukt som MFA-elementer

Autentiseringsmetoder (OIDC, SAML 2.0, TrackLink) kan brukes som MFA-elementer med følgende regler:

• MFA-spesifikke ACR-verdier videresendes ikke til forespørselen til MFA-autentiseringsmetoden.
• Svaret fra autentiseringsmetoden må inneholde den påkrevde AMR-verdien for det valgte MFA-elementet.
• AMR-verdien legges normalt til i claim transform hvis den returnerte identiteten samsvarer med forventet identitet. Se eksemplet på claim transform.
• Hvis den påkrevde AMR-verdien mangler, feiler innloggingen.
• Etter vellykket validering legger FoxIDs til AMR mfa i den resulterende sesjonen.

Be om MFA fra applikasjoner

Applikasjoner kan be om MFA i både OpenID Connect og SAML 2.0.

Hvis spesifikke ACR-verdier bes om, men ikke er konfigurert på MFA-elementer i den valgte innloggingsautentiseringsmetoden, feiler autentiseringen.

OpenID Connect

Bruk acr_values:

• Generell MFA: acr_values=urn:foxids:mfa
• Generell MFA og spesifikk metode: acr_values=urn:foxids:mfa urn:foxids:link

SAML 2.0

Bruk RequestedAuthnContext.AuthnContextClassRef:

• Generell MFA: inkluder urn:foxids:mfa
• Generell MFA og spesifikk metode: inkluder urn:foxids:mfa og spesifikke verdier som urn:foxids:link

Sesjonsatferd

FoxIDs validerer påkrevde AMR-verdier mot den gjeldende innloggingssesjonen.

• Ny innlogging: sesjonen opprettes når alle krav er oppfylt.
• Step-up login: en eksisterende sesjon oppdateres når alle ytterligere MFA-krav er oppfylt.
• Gjenbruk av sesjon: hvis sesjonen allerede oppfyller de påkrevde AMR-verdiene, gjenbruker FoxIDs sesjonen og ber ikke om innlogging på nytt.

Feilsøking

Vanlige årsaker til MFA-feil:

• ACR-verdier det bes om er ikke konfigurert som MFA-elementer i innloggingsautentiseringsmetoden.
• En autentiseringsmetode som brukes som MFA returnerer ikke den påkrevde AMR-verdien.
• Ingen konfigurert MFA-element er for øyeblikket tilgjengelig for brukeren, for eksempel fordi telefon- eller e-postdata mangler for SMS eller e-post.